محمد بختیاری

به گزارش CNN، سنای آمریکا قانون جدیدی تصویب کرده است که براساس آن، استفاده از شبکه‌ی اجتماعی چینی TikTok در تمامی دستگاه‌های دولتی ایالات متحده ممنوع می‌شود. دولت آمریکا عقیده دارد که تیک تاک امنیت اطلاعات را به خطر می‌اندازد و باعث نفوذ چین در دستگاه‌های دولتی می‌شود.

در رأی‌گیری مجلس سنا «لایحه‌ی ممنوعیت تیک تاک در دستگاه‌های دولتی» به اتفاق آرا به تصویب رسید. این لایحه توسط جاش هالی، سناتور جمهوری‌خواه ایالت میزوری، تهیه شد. این جدیدترین اقدام قانون‌گذاران ایالات متحده علیه سرویسی است که انتشار ویدیوهایی با فرمت کوتاه را ممکن می‌کند و در سال‌های اخیر به محبوبیت قابل توجهی بین نوجوانان آمریکایی دست پیدا کرده است. تیک تاک امروزه بیش از یک میلیارد کاربر در سراسر دنیا دارد و جایگاه اینستاگرام و فیسبوک را به‌شدت تهدید می‌کند.

مقامات ایالات متحده نگرانند داده‌هایی که تیک تاک از کاربران آمریکایی جمع‌آوری می‌کند به دست دولت چین بیفتد. چین نفوذ قابل توجهی در بایت‌دنس، شرکت مادر تیک تاک، دارد. این ادعا در حالی مطرح می‌شود که مقامات تیک تاک هرگونه ارتباط با دولت چین را تکذیب کرده‌اند.

کن باک، سناتور جمهوری‌خواه ایالت کلرادو، سال گذشته لایحه‌ی دیگری با محوریت تیک تاک معرفی کرد. آن لایحه هنوز به تصویب اعضای کمیته‌ی نظارت مجلس نمایندگان آمریکا نرسیده است.

نانسی پلوسی، رئیس مجلس نمایندگان آمریکا، می‌گوید هنوز مشخص نیست که مجلس نمایندگان هم مثل سنا لایحه‌ی مربوط به تیک تاک را تصویب می‌کند یا نه. ظاهراً قانون‌گذاران ایالات متحده در حال مذاکره با مقامات کاخ سفید هستند تا در صورت لزوم برخی از بخش‌های لایحه را اصلاح کنند.

سخنگوی تیک تاک در بیانیه‌ای می‌گوید بار دیگر سناتور هالی قانونی را مطرح کرده است که استفاده از تیک تاک را در دستگاه‌های دولتی ممنوع می‌کند، «طرحی که هیچ تأثیری روی بهبود منافع امنیت ملی آمریکا نمی‌گذارد.» سخنگوی تیک تاک می‌گوید مدیران این شبکه‌ی اجتماعی امیدوار هستند سناتور هالی به‌جای ادامه دادن این مسیر، سراغ طرح دیگری که نگرانی‌هایش را رفع کند، برود.

تیک تاک در چند وقت اخیر مذاکراتی با دولت ایالات متحده داشته است تا در این کشور مسدود نشود. تیک تاک سال‌ها پشت درهای بسته با کمیته‌ی سرمایه‌گذاری خارجی ایالات متحده مذاکره کرده اما هنوز به نتیجه‌ی مشخصی نرسیده است.

سه‌شنبه‌ی این هفته گروهی از قانون‌گذاران آمریکایی به رهبری سناتور جمهوری‌خواه ایالت فلوریدا لایحه‌ی جدیدی برای ممنوعیت کامل تیک تاک در ایالات متحده پیشنهاد کردند. آن‌ها همچنین به‌دنبال مسدود کردن اپلیکیشن‌هایی هستند که ممکن است «به‌طور اساسی، تحت نفوذ» کشورهای چین و روسیه و ایران و کره‌ی شمالی و کوبا و ونزوئلا باشند.

در دو هفته‌ی اخیر حداقل هفت ایالت آمریکا گفته‌اند که کارکنان را از استفاده از تیک تاک در دستگاه‌های دولتی منع می‌کنند. شماری از آژانس‌های دولتی آمریکا به‌طور مستقل اقداماتی برای محدودسازی استفاده از تیک تاک در بین کارکنان خود انجام داده‌اند. در حال حاضر ارتش آمریکا، وزارت امور خارجه و وزارت امنیت داخلی اجازه نمی‌دهند تیک تاک در دستگاه‌هایی که تحت مالکیت دولت آمریکا است نصب شود.

براساس گزارش ورج، کاربرانی که حساب اینستاگرام‌شان هک شده است ازاین‌پس به راهکار جدیدی دسترسی دارند تا برای بازیابی حساب اقدام کنند. اینستاگرام صفحه‌ی جدید Instagram.com/hacked را راه‌اندازی کرده است. پس از هک شدن حساب کاربری می‌توانید با مراجعه به این صفحه، به اینستاگرام درخواست دهید که دسترسی به حساب کاربری را برای شما امکان‌پذیر کند.

سرویس جدید اینستاگرام افزون‌بر درخواست برای دسترسی به حساب‌های هک‌شده به شما امکان می‌دهد حساب‌هایی را که جعل هویت انجام می‌دهند ریپورت یا در صورت فراموشی رمز عبور برای ورود به حساب اقدام کنید. مهم‌ترین قابلیت جدید این سرویس، تلاش برای بازیابی حساب‌های هک‌شده است. کاربران تا پیش از راه‌اندازی صفحه‌ی Instagram.com/hacked کار سختی برای دسترسی به حساب هک‌شده داشتند.

بازیابی حساب هک‌شده‌ی اینستاگرام هرگز ساده نبوده است. گزارشی در سال ۲۰۱۸ نشان داد تعداد قابل توجهی از کاربران اینستاگرام مجبور شده‌اند برای بازیابی حساب هک‌شده، به هکر باج بدهند. گزارشی دیگر در سال ۲۰۱۹ نشان داد اینفلوئنسرهایی که حساب‌شان به دست هکرها افتاده است مجبور شده‌اند برای بازیابی حساب سراغ همکاری با هکرهای دیگر بروند. در هر دو گزارش کاربران گفته بودند که اینستاگرام با سرعت بسیار پایینی به درخواست‌ها پاسخ می‌دهد و گاهی اوقات درخواست‌ها را به‌طور کامل بدون پاسخ می‌گذارد.

اوایل سال جاری میلادی اینستاگرام گفت روی قابلیت‌های جدیدی برای بازیابی حساب‌های کاربری کار می‌کند. یکی از راهکارهای آزمایشی، اقدام ازطریق حساب دوستان بود. اینستاگرام می‌گوید این قابلیت هم‌اکنون برای تمامی کاربران دردسترس قرار داد. کسانی که از حساب خود بیرون انداخته شده‌اند می‌توانند دو نفر از دوستان‌شان را انتخاب و ازطریق آن‌ها هویت خود را تأیید کنند. اینستاگرام می‌گوید روی سیستم‌های جدیدی برای جلوگیری از هک شدن حساب‌های کاربری نیز کار می‌کند.

اپل همیشه تلاش زیادی برای افزایش امنیت سیستم‌عامل‌ها و دستگاه‌های خود انجام داده است که گواه آن، سخت بودن ساخت ابزار جیلبریک iOS 15 بود. اما امنیت هیچ‌گاه مطلق نیست و تیمی به‌ نام palera1n موفق شده است ابزار جیلبریک iOS 15 و همچنین iOS 16 را منتشر کند که این موضوع خبر بسیار خوشحال‌کننده‌ای برای علاقمندان به سفارشی‌سازی آیفون است.

فرایند جیلبریک، با رفع محدودیت‌های نرم‌افزاری دستگاه‌های مجهز به iOS به کاربران اجازه می‌دهد با دسترسی به فایل‌های سیستمی و ویرایش آن‌ها، تغییرات مختلفی مثل تم‌، بارگذاری برنامه‌ از منابع غیر از اپ‌استور و موارد دیگر را انجام دهد. البته اپل همیشه تلاش کرده است با بهبود امنیت سیستم‌عامل مذکور، جلوی جیلبریک آن را بگیرد.

به‌نوشته‌ی 9to5Mac، روش جیلبریک palera1n برپایه‌ی checkm8 کار می‌کند؛ آسیب‌پذیری مهمی که سال ۲۰۱۹ شناسایی شد. این اکسپلویت از نوع غیرقابل اصلاح درنظر گرفته می‌شود و در تراشه‌های A11 تا A15 اپل وجود دارد. البته غول فناوری مستقر در کوپرتینو می‌تواند سایر بخش‌های سیستم را تغییر دهد تا از سوءاستفاده‌ی هکرها جلوگیری کند، اما قادر نخواهد بود اقدامی برای رفع دائمی این آسیب‌پذیری در دستگاه‌های قدیمی انجام دهد.

به گفته‌ی توسعه‌دهندگان جیلبریک جدید iOS، این ابزار با iOS 15 تا iOS 16.2 سازگاری دارد و این درحالی است که فقط چند روز از انتشار جدیدترین نسخه‌ی سیستم‌عامل مذکور می‌گذرد. درحال‌حاضر نمی‌دانیم این روش برای iOS 16.3 که هنوز به‌طور عمومی دردسترس قرار نگرفته است کار خواهد کرد یا خیر.

بااین‌حال، فهرست دستگاه‌هایی که تحت‌تأثیر آسیب‌پذیری checkm8 قرار دارند و امکان اجرای iOS 16 را دارند خیلی طولانی نیست. بدین‌ترتیب مدل‌های آیفون و آیپد که از جیلبریک iOS 16 با ابزار palera1n پشتیبانی می‌کنند به‌شرح زیر است:

palera1n با پشتیبانی از iOS 16 برای دستگاه‌های مجهز به تراشه‌ی A11 و نسخه‌های قدیمی‌تری که از این پردازنده بهره می‌برند به‌روزرسانی شده است. البته تیم سازنده‌ی این جلبریک هشدار می‌دهد که ابزار آن‌ها هنوز در مرحله‌ی آزمایشی قرار دارد و بیشتر جامعه‌ی توسعه‌دهندگان را هدف قرار داده است. این فرایند بسیار پیچیده بوده و به رایانه‌ای با سیستم‌عامل لینوکس یا مک نیاز دارد. نکته‌ی دیگر این‌که در‌حال‌حاضر فقط امکان اجرای چند تغییر در iOS 16 وجود دارد که جزئیات کامل آن در صفحه‌ی رسمی گیت‌هاب پروژه ارائه شده است.

مایکروسافت مرورگر اج را به‌طور کامل جایگزین اینترنت اکسپلورر کرده است، اما همچنان برخی از سازمان‌ها به استفاده از مرورگر قدیمی ردموندی‌ها ادامه می‌دهند. آن‌طور که پژوهشگران امنیتی گوگل ادعا می‌کنند، پاییز امسال گروهی هکری تحت حمایت دولت کره‌ی شمالی از یک آسیب‌پذیری موجود در اینترنت اکسپلورر سوءاستفاده کرده‌ است.

به نوشته‌ی Ars Technica، نخستین‌بار نیست که گروه هکری APT37 از محبوبیت ماندگار اینترنت اکسپلورر برای اهداف مخربش بهره می‌گیرد. APT37 پیش‌تر با موفقیت روزنامه‌نگاران و فعالان اجتماعی اهل کره‌ی جنوبی به‌همراه فراری‌های کره‌ی شمالی را هدف قرار داده بود. ظاهراً هکرها ازطریق یک آسیب‌پذیری قدیمی وارد عمل شده‌اند؛ این آسیب‌پذیری محدودیت زیادی دارد، اما حمله‌ی موفقیت‌آمیز را ممکن می‌کند.

آسیب‌پذیری اینترنت اکسپلورر به هکرهای کره‌ی شمالی امکان داده است به سایت Daily NK که در کره‌ی جنوبی فعالیت می‌کند و به اخبار کره‌ی شمالی می‌پردازد حمله کنند. هکرها یک فایل ورد با پسوند docx. برای قربانیان ارسال کردند که به حادثه‌ی تلخ مراسم هالووین ارتباط داشت، حادثه‌ای که ۱۵۱ نفر را به کام مرگ کشاند. کاربران کره‌ی جنوبی سند موردبحث را در ابزار VirusTotal گوگل ثبت کردند و این ابزار توانست آسیب‌پذیری قدیمی CVE-2017-0199 را که در ورد و وردپد وجود دارد، شناسایی کند.

فایل ورد موردبحث پس از باز شدن در خارج از حالت Protected View، یک فایل RTF ازطریق سروری ناشناس دانلود و سپس فایل‌های HTML بیشتری دریافت می‌کند که شبیه نمونه‌های RTF هستند. آفیس و ورد ذاتا از اینترنت اکسپلورر برای رندر HTML بهره می‌گیرند و آسیب‌پذیری در این مرورگر راه نفوذ به ورد را باز می‌کند. این آسیب‌پذیری اولین بار در سال ۲۰۱۷ مشاهده و سپس برطرف شد، اما ظاهراً همچنان پابرجا باقی مانده است.

آسیب‌پذیری موردبحث به موتور جاوااسکریپت مرورگر اینترنت اکسپلورر ارتباط دارد. گوگل فعلاً نمی‌داند که هکرهای کره‌ی شمالی ازطریق آسیب‌پذیری اینترنت اکسپلورر چه بدافزارهایی را به سیستم قربانیان تزریق کرده‌اند، اما همین گروه از هکرها پیش‌تر از BLUELIGHT و ROKRAT و DOLPHIN بهره گرفته‌اند.

مایکروسافت می‌گوید آسیب‌پذیری جاوااسکریپت اینترنت اکسپلورر را رفع کرده است.

گوشی‌های هوشمند سامسونگ از قابلیت‌های امنیتی سخت‌افزاری موسوم به Knox بهره می‌برند و تقریباً همه‌ی مدل‌های میان‌رده و پرچم‌دار این برند با ویژگی مذکور روانه‌ی بازار می‌شوند. به‌هرحال، محققان امنیتی شرکت‌کننده در مسابقه‌ی Pwn2Own، گلکسی S22 را هدف قرار دادند و به‌طرز شگفت‌انگیزی موفق شدند آسیب‌پذیری‌های روز صفر زیادی روی این دستگاه پیدا کنند. درحال‌حاضر، این مسابقات در تورنتو کانادا ادامه دارد.

Zero Day Iniitiative (ZDI) میزبان مسابقات هک Pwn2Own است؛ رقابتی که در آن هکرها مهارت‌های خود را در کشف آسیب‌پذیری‌های روز صفر به‌رخ می‌کشند. به‌لطف اقدامات چندین هکر، نقص‌های مهم روز صفر در دستگاه‌های NAS (دستگاه ذخیره‌سازی متصل به شبکه) برندهای مختلفی مثل NetGear، اچ‌پی، Lexmark، کانن، تی‌پی‌لینک، Sonos ،Synology و وسترن‌دیجیتال شناسایی شده‌اند.

گوشی پرچم‌دار غول فناوری کره‌ای، یعنی گلکسی S22، نیز هدف بسیاری از هکرها قرار گرفت و این افراد به‌سرعت نقص‌های امنیتی مختلفی روی آن شناسایی کردند. به‌نوشته‌ی Gizmochina، دو مشکل مهم در پرچم‌دار کنونی سامسونگ را تیم Star Labs و تیم Chim تشخیص دادند. این اتقاق در روز اول برگزاری Pwn2Own رخ داد و هکرها موفق شدند با بهره‌گرفتن از ‌ضعف‌های امنیتی، کنترل کامل دستگاه را در دست بگیرند. تیمی به‌ نام Pentest Limited نیز موفق شد این گوشی را در روز دوم مسابقات هک کند.

درواقع، رکورد هک موفق گلکسی S22 سامسونگ در روز سوم به کمتر از یک دقیقه (۵۵ ثانیه) رسید. این اتفاق تاکنون چهار مرتبه در رقابت‌های Pwn2Own رخ داده است. بدین‌ترتیب، هکرها می‌توانند از آسیب‌پذیری‌های روز صفر موجود در گوشی پرچم‌دار سامسونگ در کمتر از یک دقیقه برای نفوذ به آن استفاده کنند. کارشناسان امنیتی در Pentest Limited مدعی شده‌اند که با حمله به «اعتبارسنجی ورودی نامناسب»، موفق شده‌اند دسترسی به گوشی را ایجاد کنند.

گفتنی است مطابق قوانین مسابقه‌ی Pwn2Own، گلکسی S22 به جدیدترین نسخه‌ی سیستم‌عامل اندروید و جدیدترین وصله‌های امنیتی به‌روزرسانی شده بود. کارشناسان امنیتی برای نفوذ به این گوشی پاداش ۲۵ هزار دلاری و پنج امتیاز دریافت کردند. به‌هرحال، هک‌شدن دستگاهی پرچم‌دار در کمتر از یک دقیقه واقعاً عجیب به‌نظر می‌رسد. صرف‌نظر از مهارت هکرها، این موضوع نشان می‌دهد پرچم‌دار کنونی سامسونگ نقص‌های امنیتی خاصی دارد.

اپل از شما می‌خواهد بدانید که به حریم خصوصی‌ اهمیت می‌دهد. از سال‌ها قبل، این شرکت تبلیغاتی با مضمون حفاظت از داده‌های کاربران منتشر می‌کند و از رقبایش به‌دلیل سوءاستفاده از اطلاعات شخصی کاربران انتقاد و اظهارنظرهای زیادی درباره‌ی روش محافظت از کاربران می‌کند.

شکی نیست که اپل درمقایسه‌با بسیاری از شرکت‌های بزرگ فناوری، داده‌های کاربرانش را با دقت بیشتری مدیریت می‌کند. این شرکت برخلاف گوگل و متا، به کسب‌وکار درآمد از استخراج داده‌های کاربران وابستگی ندارد؛ اما این موضوع بدان‌معنا نیست که حریم خصوصی شما با استفاده از آیفون به‌طور‌کامل حفظ می‌شود.

اپل اطلاعات شخصی زیادی را جمع‌آوری می‌کند و بیشتر کاربران به وعده‌ی این برند اعتقاد دارند که هر‌آنچه در آیفونتان اتفاق می‌افتد در همان باقی خواهد ماند. اپل از اطلاعات مذکور برای تبلیغات، توسعه‌ی محصولات جدید و… استفاده می‌کند. کوپرتینویی‌ها درباره‌‌ی مشکلات حریم خصوصی خود اظهارنظر نکرده‌اند؛ ولی در این مطلب قصد داریم به ۱۰ روش شگفت‌انگیزی اشاره کنیم که اپل با استفاده از آن‌ها، داده‌هایتان را جمع‌آوری می‌کند.

۱. ردیابی کاربران حتی با خاموش‌کردن گزینه‌ی حریم خصوصی

محققان امنیتی شرکت نرم‌افزاری Mysk در ماه نوامبر داده‌هایی را بررسی کردند که آیفون برای اپل ارسال می‌کند. آنان دریافتند که کوپرتینویی‌ها داده‌های تحلیلی روش استفاده‌ی شما از دستگاه را حتی درصورت خاموش‌بودن تنظیمات حریم خصوصی IPhone Analytics جمع‌آوری می‌کنند.

تنظیمات حریم خصوصی آیفون وعده می‌دهد اشتراک‌گذاری داده‌ها را به‌طور‌کامل غیرفعال کند؛ اما آزمایش‌ها نشان می‌دهند کنترل‌های حریم خصوصی گوشی‌های هوشمند اپل تأثیری روی این‌ مسئله نخواهد گذاشت که برنامه‌های این شرکت جزئیات مربوط به رفتار کاربران را جمع‌آوری می‌کنند. همچنین، محققان دریافتند که داده‌ها شامل رشته‌ی منحصربه‌فردی از حروف و اعداد هستند که می‌تواند شما را براساس نامتان شناسایی کند.

یکی از کاربران اپل پس از انتشار اخبار مربوط به جمع‌آوری داده‌ها از گوشی‌های آیفون، شکایتی دسته‌جمعی علیه این برند تنظیم کرد. اکنون بیش از یک ماه از آن زمان گذشته و اپل همچنان درباره‌ی مشکل تجزیه‌وتحلیل داده‌های آیفون اطلاعاتی ارائه نکرده است.

۲. جمع‌آوری جزئیات همه‌ی فعالیت‌ها در اپ‌استور

وقتی محققان Mysk داده‌های تحلیلی‌ای را بررسی کردند که آیفون از کاربران جمع‌آوری می‌کند، داده‌های اپ‌استور به‌طور شگفت‌انگیزی دقیق بود. در این زمینه نیز خاموش‌کردن تنظیمات iPhone Analytics تقاوتی در حجم ارسال داده‌های کاربران ایجاد نکرد.

آزمایش محققان نشان داد اپ‌استور اطلاعاتی درباره‌ی همه‌ی کارهایی جمع‌آوری می‌کند که کاربران به‌طور‌لحظه‌ای انجام می‌دهند؛ ازجمله اینکه روی چه چیزی ضربه زده‌اید، کدام برنامه‌ها را جست‌وجو کرده‌اید، چه تبلیغاتی را مشاهده کرده‌اید و چه مدت به برنامه‌ای خاص نگاه کرده‌اید و حتی چگونگی نگاه به آن برنامه.

محققان می‌گویند فروشگاه برنامه‌ی اپل جزئیاتی از شما و دستگاهتان برای این شرکت ارسال می‌کند و درکنار آن نوع گوشی، وضوح نمایشگر، زبان‌های صفحه‌کلید، روش اتصال به اینترنت و به‌خصوص نوع اطلاعات استفاده‌شده برای اثرانگشت دستگاه نیز جمع‌آوری می‌شوند.

شاید داده‌های اپ‌استور خیلی حساس به‌نظر نرسد؛ اما به برنامه‌هایی بستگی دارد که از آن‌ها استفاده می‌کنید. به‌عنوان مثال، اگر برنامه‌های مرتبط با مذهب یا مسائل مربوط به سلامت روان را جست‌وجو کنید، داده‌هایی که به سرورهای این شرکت ارسال می‌شوند، شامل جزئیات دقیقی از زندگی شما خواهند بود. برنامه‌های Health و Wallet کمی خصوصی‌تر بودند؛ اما Books ،Apple TV ،Apple Music ،iTunes Store و Stocks همگی اطلاعات مشابهی را جمع‌آوری کردند.

۳. نقشه‌ای پنهان از هرکجا که می‌روید

اپل از داده‌های کاربران الزاماً برای مقاصد شرورانه بهره نمی‌برد؛ اما ارزشش را دارد که بدانید چه نوع اطلاعاتی جمع‌آوری می‌کند. اپل از داده‌های مکانی آیفون برای ارائه‌ی ویژگی‌های مفیدی مثل پیشنهاد مسیرهای رانندگی یا برچسب‌گذاری و سازمان‌دهی عکس‌ها استفاده می‌کند؛ اما نکته‌ای که احتمالاً از آن غافل هستید، میزان داده‌های فراوانی است که برای آینده ذخیره می‌شوند.

در تنظیمات آیفون به ‌مسیر Privacy & Security > Location Services > System Services > Significant Locations بروید. در این بخش، سوابقی از فعالیت‌های اخیر سفر خود و مکان‌هایی که اغلب به آنجا می‌روید (مانند آدرس خانه و محل کار خود)، مشاهده خواهید کرد.

اپل کنترل‌های دقیقی برای غیرفعال‌کردن جمع‌آوری این داده‌ها ارائه می‌دهد و اطلاعاتی نیز درباره‌ی روش استفاده از داده‌های مکانی در خط‌مشی‌های حفظ حریم خصوصی خود ارائه می‌کند. بااین‌حال، این موضوع نشان می‌دهد که اقدام اپل برای برداشت اطلاعات پیش‌فرض چقدر دقیق است.

۴. حتی با غیرفعال‌کردن ردیابی برنامه‌ها، گاهی‌ اوقات این کار را انجام می‌شود

سال گذشته، اپل گزینه‌ی جدید حریم خصوصی خود به نام «شفافیت ردیابی برنامه» یا ATT را ارائه کرد. اگر برنامه‌ها برای ردیابی شما از آیفون درخواست کنند، آن را مشاهده خواهید کرد. ATT قابلیت بسیار مهم و بزرگی است. تأثیر این ویژگی روی صنعت فناوری آن‌قدر بزرگ بود که شاید نبرد تیک‌تاک و فیسبوک به‌نفع برنامه‌ی چینی تمام شود.

بااین‌حال، این تنظیم قطعه‌ای خاص از داده‌ها را کنترل می‌کند. وقتی آن را روشن کنید، برنامه‌هایتان نمی‌توانند شماره‌ی شناسایی به نام IDFA یا شناسه‌ی آگهی‌دهندگان را جمع‌آوری کنند. قرار نیست برنامه‌ها به روش دیگری شما را ردیابی کنند؛ اما ازنظر فنی، مانعی برای این کار وجود ندارد. اپل می‌گوید اگر توسعه‌دهندگان این خط‌مشی را نقض کنند، برنامه‌های آن‌ها از اپ‌استور حذف خواهد شد.

به‌هرحال تحقیقات نشان داده است که اپل به بسیاری از اپلیکیشن‌ها اجازه می‌دهد تا کاربران را ردیابی کنند. سال گذشته، مطالعه‌ای تحقیقاتی نشان داد که روشن‌کردن گزینه‌ی شفافیت ردیابی برنامه تفاوت معناداری در فعالیت ردیابی شخص‌ ثالث ایجاد نمی‌کند.

اپل قرار نیست به شرکت‌های بزرگی مثل تیک‌تاک یا متا اجازه دهد قوانین را به‌طور‌آشکار نقض کنند؛ اما تلاش‌های اجرایی این شرکت علیه برخی شرکت‌های کوچک‌تر، کم‌رنگ‌تر به‌نظر می‌رسند. به‌عبارت‌دیگر، آیفون شما آن‌قدر که اپل اعلام می‌کند، خصوصی نیست.

۵. جمع‌آوری داده‌‌ها برای ردیابی افرادی که با آنان معاشرت می‌کنید

مطالعه‌ای در کالج ترینیتی دوبلین مجموعه داده‌های اپل را در سال گذشته بررسی کرد و درمیان مشکلات مختلف، مشخص شد این شرکت اطلاعاتی را جمع‌آوری می‌کند که می‌تواند برای ردیابی افرادی استفاده شوند که با آنان وقت می‌گذرانید.

این تحقیق نشان داد وقتی وای‌فای روشن است، آیفون شما آدرس MAC وای‌فای همه‌ی دستگاه‌های متصل به شبکه‌ی شما را به سرورهای اپل ارسال می‌کند. براساس این مطالعه، اگر خدمات مکان‌یابی را فعال کرده باشید، داده‌ها شامل اطلاعات دقیق موقعیت‌ مکانی (GPS) خواهند بود. این یعنی اگر اپل بخواهد، می‌تواند هرکسی (دوستان و خانواده و همکاران) که در نزدیکی شما است، شناسایی کند.

داگ لیت، استاد کالج ترینیتی، در مصاحبه با ScienceX گفت:

اینکه می‌بینیم داده‌های زیادی از آیفون برای اپل ارسال می‌شوند، ناامیدکننده است. فکر می‌کنم کاربران آيفون اغلب باور دارند گوشی‌هایشان از گوشی‌های اندرویدی حریم خصوصی بهتری ارائه می‌دهد و مطمئناً اپل اهمیت این موضوع را همیشه به‌خوبی نشان داده است. بااین‌حال، مطالعه‌ی ما نشان می‌دهد این شرکت تقریباً همان داده‌هایی که گوگل جمع‌آوری می‌کند، از گوشی‌های آیفون جمع‌آوری می‌کند.

۶. اپل عمداً حریم خصوصی iMessage را ضعیف می‌کند

یکی از بهترین ویژگی‌های iMessage این است که مکالماتتان را به‌طور‌سرتاسری رمزنگاری می‌کند. این یعنی فقط فرستنده و گیرنده می‌توانند محتوای واقعی پیام‌ها را مشاهده کنند و در‌این‌میان هرکسی حتی اپل سعی کند استراق‌سمع کند، تقریباً هیچ بختی برای رسیدن به هدفش نخواهد داشت.

بااین‌حال، امنیت iMessage فقط درصورتی برقرار خواهد بود که طرف مقابل شما نیز از آیفون استفاده کند. اگر با یکی از صدها میلیون نفر از کاربران گوشی‌های اندرویدی چت کنید، پیام‌رسان اپل گفت‌وگوهای شما را به‌صورت پیام معمولی و بدون رمزنگاری ارسال می‌کند؛ پیام‌هایی که مملو از نگرانی‌های امنیتی هستند.

گوگل، سازنده‌ی اندروید، تلاش کرده است با اتخاذ استاندارد جدیدی برای پیام‌های متنی با اپل همکاری کند تا این مشکل برطرف شود؛ البته اپل از این همکاری خودداری کرده است. اخیراً یکی از خبرنگاران از تیم کوک پرسید که اپل چه زمانی مشکل امنیتی iMessage را رفع خواهد کرد و او با کنایه گفت اگر نگران موضوع هستید، آیفون بخرید.

همچنین، اپل می‌تواند برنامه‌ی iMessage را برای اندروید منتشر کند؛ اما احتمالاً هرگز چنین کاری را انجام نخواهد داد. اگر برایتان سؤال پیش آمده است که چرا این شرکت چنین اقدامی انجام نمی‌دهد، جواب خیلی ساده است: رقابت. شکایتی که اپل را به اقدامات انحصاری متهم می‌کند، شامل ایمیل‌هایی بین مدیران اجرایی این شرکت درباره‌ی تغییرات احتمالی است. این ایمیل‌ها نشان می‌دهند بخشی از استراتژی iMessage اپل، به‌دام‌انداختن کاربران آیفون است.

پرداختن به این مشکل راهی آسان برای بهبود چشمگیر حریم خصوصی برای کاربران اپل است که برخی از آن‌ها ده‌ها‌هزار دلار برای خرید محصولات این شرکت هزینه کرده‌اند. درعوض، به‌نظر می‌رسد اپل عمداً این مشکل را ایجاد کرده است.

۷. تبلیغات هدفمند

احتمالاً با شنیدن نام اپل چندان به موضوع تبلیغات فکر نمی‌کنید؛ اما امکان دارد این موضوع در آینده تغییر کند. اپل پس از به‌زانو‌درآوردن سایر شرکت‌های فناوری که از تبلیغات کسب درآمد می‌کنند، بی‌‌سروصدا شبکه‌ی تبلیغاتی خود را ساخت. این شرکت آگهی‌های بیشتری در اپ‌استور نمایش می‌دهد و قصد دارد تبلیغات را در اپل تی‌وی نیز پخش کند. طبق گزارش‌های اخیر، اپل تلاش می‌کند مهندسان فناوری تبلیغات را از شرکت‌های دیگر جذب کند.

حدس بزنید چه چیزی به همه‌ی این تبلیغات دامن می‌زند؟ داده‌های شخصی شما. اپل تاکنون تبلیغات هدفمند زیادی انجام نداده است؛ اما شما آن را در اپ‌استور مشاهده می‌کنید و نشانه‌های زیادی وجود دارد که گواه می‌دهند تبلیغات بیشتری در راه‌اند.

به‌نوشته‌ی Gizmodo، اپل برای سیستم تبلیغاتی هدفمند خود از نام، مکان، آدرس، سن، جنسیت، سوابق آگهی‌های مشاهده شده، محصولات و خدمات استفاده‌شده، جست‌وجوهای اپ‌استور و… استفاده می‌کند. این شرکت با بهره‌گرفتن از داده‌های مذکور شما را به بخش‌های مختلف مخاطبان تبلیغاتی اختصاص می‌دهد و از داده‌های مذکور برای ایجاد گزارش‌های انبوه درباره‌ی عملکرد کمپین‌های تبلیغاتی به آگهی‌دهندگان بهره می‌برد.

سیستم تبلیغاتی اپل کمی خصوصی‌تر از بسیاری از پلتفرم‌های مشابه سایر شرکت‌ها است و وعده می‌دهد اطلاعات شناسایی شخصی شما را با شرکت‌های دیگر به‌اشتراک نگذارد؛ اما یک‌ لحظه هم فکر نکنید که داده‌هایتان به سرورهای اپل ارسال نخواهد شد.

براساس اعلام اپل، کاری که این شرکت انجام می‌دهد، به‌عنوان «ردیابی» به‌حساب نمی‌آید؛ زیرا فقط داده‌هایی را درباره‌ی کارهایی جمع‌آوری می‌کند که مردم درزمینه‌ی محصولات این شرکت انجام می‌دهند.

۸. استفاده از VPN همه‌ی داده‌های شما را پنهان نمی‌کند

یافته‌ی دیگر محققان Mysk نشان می‌دهد استفاده از شبکه‌ی خصوصی مجازی در آیفون که بسیاری از کاربران از‌ آن برای پنهان‌کردن ترافیک خود بهره می‌برند، شما را دربرابر این شرکت محافظت نخواهد کرد. محققان در آزمایشی متوجه شدند اپل VPN دستگاه شما را برای جمع‌آوری اطلاعات مربوط به فعالیت‌هایتان دور می‌زند.

۹. مکالمات شما با سیری چقدر خصوصی است؟

اپل iOS 15 را در سال ۲۰۲۱ معرفی کرد. این نسخه از سیستم‌عامل موبایلی اپل درکنار تغییرات فراوان، بهبودهایی را در بخش حریم خصوصی سیری ارائه داد. کیتی اسکینر، مدیر نرم‌افزار حریم خصوصی اپل گفت:

امروز در حال معرفی سیستم تشخیص گفتار روی دستگاه هستیم. این یعنی به‌طور‌پیش‌فرض صدای شما دقیقاً روی آیفون یا آیپد پردازش می‌شود. این ویژگی بزرگ‌ترین نگرانی حریم خصوصی درباره‌ی دستیارهای صوتی را برطرف و از ضبط ناخواسته‌ی صدای شما جلوگیری می‌کند.

نکته‌ای که اپل به آن اشاره نکرده، این است که اگرچه صداهای ضبط‌شده‌ی شما احتمالاً از گوشی خارج نخواهد شد، رونوشتی از آن همیشه جمع‌آوری می‌شود. اگر از ویدئو پرزرق‌وبرق این شرکت درباره‌ی حریم خصوصی سیری صرف‌نظر کنید و به خط‌مشی‌های رازداری این شرکت سری بزنید، با بندی مواجه خواهید شد که اشاره می‌کند در همه‌ی مواقع، رونوشتی از تعاملات شما برای پردازش درخواست‌ها به سرورهای اپل ارسال می‌شود.

آیا باید درباره‌ی ارسال رونوشت پیام‌های صوتی که در تعامل با سیری بیان کرده‌اید، نگران باشید؟ پاسخ کوتاه به این پرسش «خیر» است. هیچ دلیل وجود ندارد که فرض کنید مهندسان اپل قصد دارند چت‌های شما را با سیری زیرنظر بگیرند؛ اما این نمونه‌ی دیگری است که در آن شیوه‌های اپل آن‌قدر که در نگاه اول به‌نظر می‌رسد، خصوصی نیستند.

یکی از کاربرانی که سیاست‌های این شرکت درباره‌ی کار با سیری را مطالعه کرده است، می‌گوید آیفون جدیدی را به‌طور‌خاص برای کار با دستیار سیری خریده‌؛ اما متوجه شده است این شرکت می‌تواند تقریباً هرآنچه تمایل داشته باشد، درباره‌ی استفاده از این دستیار هوشمند جمع‌آوری کند؛ به‌همین‌دلیل، از استفاده از آن منصرف شد.

۱۰. جمع‌آوری داده‌های موسیقی، فیلم، سهام و…

اپل تمایل دارد کاربرانش را در اکوسیستم بسته‌ی خود زندانی کند. این اقدام فقط درباره گوشی‌ها و کامپیوترهای این شرکت نیست و درواقع، برای برنامه‌هایی که از آن‌ها استفاده می‌کنید، نیز صدق می‌کند و کوپرتینویی‌ها دلیل بسیار شیرینی برای آن دارند.

متأسفانه استریم موسیقی به فرصت دیگری برای جاسوسی شرکت‌ها از شما تبدیل شده است و اپل نیز از این قاعده مستثنی نیست. به اپ‌استور مراجعه و برنامه‌ی Apple Music را جست‌وجو کنید. در این شرایط، متوجه خواهید شد که اپل اعلام می‌کند اطلاعات زیادی از عادت‌های گوش‌دادن شما به موسیقی برای اهداف تبلیغاتی جمع‌آوری خواهد کرد.

همین شرایط برای برنامه‌ی Books ،Apple TV ،Stocks و… نیز صدق می‌کند. آیا اپل این داده‌ها را به شرکت‌های دیگر می‌فروشد؟ به‌احتمال زیاد خیر؛ اما بسیاری از کاربران به اظهارات اپل درباره‌ی حریم خصوصی فکر می‌کنند. این شرکت می‌گوید دارندگان آیفون نباید نگران استفاده از داده‌های خود باشند!

گوگل در بیانیه‌ای می‌گوید مرورگر کروم ازاین‌پس توانایی پشتیبانی از کلید عبور (Passkey) را دارد. کلید عبور راهکار جدیدی برای جایگزینی با کلمه‌ی عبور (Password) است که لاگین ایمن و سریع در حساب را ممکن می‌کند. کلید عبور حدودا دو ماه پیش به‌صورت آزمایشی به کروم اضافه شد و اکنون به‌صورت عمومی دردسترس تمامی کاربران قرار دارد.

براساس نوشته‌ی ورج، پشتیبانی از کلید عبور به نسخه‌ی دسکتاپ و موبایل کروم روی سیستم‌های عامل ویندوز ۱۱، مک او اس و اندروید اضافه شده است. گوگل به شما امکان می‌دهد ازطریق ابزار اختصاصی این شرکت یا ابزارهای متفرقه‌ای مثل 1Password کلیدهای عبور را از اندروید با دستگاه‌های دیگر همگام‌سازی کنید.

کلید عبور شناسه‌ای منحصربه‌فرد است که روی کامپیوتر، گوشی یا دستگاه‌های دیگری مثل کلید امنیتی USB ذخیره می‌شود. وب‌سایت‌ها و اپلیکیشن‌هایی که میزبان API کلید عبور شده‌اند به شما امکان می‌دهند ازطریق سیستم بیومتریک دستگاه (مثل حسگر اثر انگشت یا تشخیص چهره) وارد حساب کاربری شوید.

نکته‌ی جذاب درمورد کلید عبور این است که ورود به حساب را بدون نیاز به کلمه‌ی عبور ممکن می‌کند، بدین ترتیب هیچ کلمه‌ی عبوری در کار نیست که نگران فاش شدن آن باشید. اپل، گوگل و مایکروسافت اعلام کرده‌اند که استفاده‌ی گسترده از کلید عبور را شروع می‌کنند،‌ به همین دلیل در گذر زمان تمامی دستگاه‌های مهم از کلید عبور پشتیبانی خواهند کرد. فناوری کلید عبور بر پایه‌ی استاندارد FIDO طراحی شده است.

شماری از فروشگاه‌های آنلاین نظیر بست‌بای و سرویس‌هایی مثل پی پال از همین حالا پشتیبانی از کلید عبور را ارائه می‌دهند. احتمالاً به‌زودی وب‌سایت‌ها و اپلیکیشن‌های بیشتری شروع‌به پشتیبانی از کلید عبور خواهند کرد.

براساس بیانیه‌ی هشداردهنده‌ی مایکروسافت، هکری با نام DEV-0139 با بهره‌گیری از گروه‌های چت تلگرام تریدرهای ثروتمند را هدف قرار داده است. این جدیدترین نمونه‌ی حملات هکری با تمرکز بر صنعت کریپتو محسوب می‌شود.

کارمزدهایی که صرافی‌های کریپتو برای هر تراکنش دریافت می‌کنند، مسئله‌ی بزرگی برای صندوق‌های سرمایه‌گذاری و تریدرهای ثروتمند محسوب می‌شوند. این کارمزدها هزینه روی دست تریدرها می‌گذارند و برای کاهش اثرگذاری آن‌ها روی سود، باید بهینه شوند. هکر یا گروهی از هکرها با تمرکز روی این مسئله، تلاش کرده‌اند توجه قربانیان را جلب کنند.

DEV-0139 در چند گروه تلگرامی که مشتریان ثروتمند و نمایندگان برخی از صرافی‌های شناخته‌شده‌ی صنعت کریپتو در آن حضور داشتند، عضو شد تا با آن‌ها ارتباط برقرار کند. DEV-0139 اهدافش را از بین اعضای این گروه‌ها انتخاب کرد. مایکروسافت می‌گوید صرافی‌های OKX و Huobi و بایننس هدف قرار گرفته‌اند. مدیرعامل صرافی بایننس در توییتی به این ماجرا واکنش نشان داده است.

هکر خودش را به‌عنوان کارمند صرافی جا زد و قربانی را به عضویت در گروه تلگرامی دیگری دعوت کرد و مدعی شد که درباره‌ی ساختار سیستم کارمزد صرافی‌های مختلف بازخورد می‌خواهد. هکر سپس از روی دانشش درباره‌ی صنعت کریپتو مکالمه‌ای با قربانی ترتیب داد تا اعتماد او را جلب کند. DEV-0139 فایل اکسلی به نام exchange fee comparision.xls را برای قربانی فرستاد که حاوی اطلاعاتی دقیق درباره‌ی ساختار کارمزد صرافی‌های کریپتو بود تا از این طریق اعتبارش را پیش قربانی افزایش دهد.

فایل اکسل یادشده به‌صورت مخفیانه فعالیت‌هایی انجام می‌داد؛ ازجمله استفاده از برنامه‌ای مخرب به‌منظور بازیابی داده‌ها و ایجاد صفحه‌ی اکسل دیگر. صفحه‌ی دوم در حالت نامرئی اجرا می‌شد و فایلی تصویری دانلود می‌کرد که از سه فایل اجرایی تشکیل شده بود: یک فایل رسمی ویندوز و نسخه‌ی مخرب یک فایل DLL و یک بک‌دور انکدشده‌ی XOR.

فایل DLL کتابخانه‌ای حاوی کد و داده‌هایی است که بیش از یک اپلیکیشن می‌توانند به‌طور‌هم‌زمان از آن‌ها استفاده کنند. همچنین، XOR راهکاری برای رمزنگاری است که از آن برای ایمن‌کردن داده‌ها استفاده می‌شود و کرک‌کردنش ازطریق روش بروت‌فورس دشوار است. مایکروسافت در بیانیه‌اش می‌گوید که احتمالاً DEV-0139 حملات دیگری با تکنیک‌های مشابه انجام داده است.

براساس بیانیه‌ی هشداردهنده‌ی مایکروسافت، هکری با نام DEV-0139 با بهره‌گیری از گروه‌های چت تلگرام تریدرهای ثروتمند را هدف قرار داده است. این جدیدترین نمونه‌ی حملات هکری با تمرکز بر صنعت کریپتو محسوب می‌شود.

کارمزدهایی که صرافی‌های کریپتو برای هر تراکنش دریافت می‌کنند، مسئله‌ی بزرگی برای صندوق‌های سرمایه‌گذاری و تریدرهای ثروتمند محسوب می‌شوند. این کارمزدها هزینه روی دست تریدرها می‌گذارند و برای کاهش اثرگذاری آن‌ها روی سود، باید بهینه شوند. هکر یا گروهی از هکرها با تمرکز روی این مسئله، تلاش کرده‌اند توجه قربانیان را جلب کنند.

DEV-0139 در چند گروه تلگرامی که مشتریان ثروتمند و نمایندگان برخی از صرافی‌های شناخته‌شده‌ی صنعت کریپتو در آن حضور داشتند، عضو شد تا با آن‌ها ارتباط برقرار کند. DEV-0139 اهدافش را از بین اعضای این گروه‌ها انتخاب کرد. مایکروسافت می‌گوید صرافی‌های OKX و Huobi و بایننس هدف قرار گرفته‌اند. مدیرعامل صرافی بایننس در توییتی به این ماجرا واکنش نشان داده است.

هکر خودش را به‌عنوان کارمند صرافی جا زد و قربانی را به عضویت در گروه تلگرامی دیگری دعوت کرد و مدعی شد که درباره‌ی ساختار سیستم کارمزد صرافی‌های مختلف بازخورد می‌خواهد. هکر سپس از روی دانشش درباره‌ی صنعت کریپتو مکالمه‌ای با قربانی ترتیب داد تا اعتماد او را جلب کند. DEV-0139 فایل اکسلی به نام exchange fee comparision.xls را برای قربانی فرستاد که حاوی اطلاعاتی دقیق درباره‌ی ساختار کارمزد صرافی‌های کریپتو بود تا از این طریق اعتبارش را پیش قربانی افزایش دهد.

فایل اکسل یادشده به‌صورت مخفیانه فعالیت‌هایی انجام می‌داد؛ ازجمله استفاده از برنامه‌ای مخرب به‌منظور بازیابی داده‌ها و ایجاد صفحه‌ی اکسل دیگر. صفحه‌ی دوم در حالت نامرئی اجرا می‌شد و فایلی تصویری دانلود می‌کرد که از سه فایل اجرایی تشکیل شده بود: یک فایل رسمی ویندوز و نسخه‌ی مخرب یک فایل DLL و یک بک‌دور انکدشده‌ی XOR.

فایل DLL کتابخانه‌ای حاوی کد و داده‌هایی است که بیش از یک اپلیکیشن می‌توانند به‌طور‌هم‌زمان از آن‌ها استفاده کنند. همچنین، XOR راهکاری برای رمزنگاری است که از آن برای ایمن‌کردن داده‌ها استفاده می‌شود و کرک‌کردنش ازطریق روش بروت‌فورس دشوار است. مایکروسافت در بیانیه‌اش می‌گوید که احتمالاً DEV-0139 حملات دیگری با تکنیک‌های مشابه انجام داده است.

اداره‌ی تحقیقات فدرال ایالات متحده (FBI) می‌گوید قابلیت امنیتی جدیدی که اپل شب گذشته معرفی کرد، «مانعی» است که اجازه نمی‌دهد این آژانس دولتی به‌خوبی از آمریکایی‌ها حفاظت کند. FBI از اپل درخواست کرده است که بک‌دوری در سیستم رمزنگاری آی‌کلاد قرار دهد تا مقامات این سازمان بتوانند در مواقع ضروری به داده‌های کاربران دسترسی پیدا کنند.

اپل شب گذشته به وقت تهران اعلام کرد که سیستم رمزنگاری سرتاسری (End to End Encryption) را به بکاپ‌هایی که کاربران در آی‌کلاد ذخیره می‌کنند اضافه خواهد کرد. همچنین آی‌مسیج به قابلیت جدیدی برای احراز هویت کاربران مجهز می‌شود تا افراد سودجو نتوانند ازطریق نفوذ به سرورهای اپل، شروع‌به جاسوسی از کاربران کنند.

قابلیت‌های موردبحث تا پیش از پایان ماه جاری میلادی دردسترس کاربران آمریکایی قرار می‌گیرند و سال آینده به‌صورت جهانی ارائه می‌شوند.

در سیستم رمزنگاری سرتاسری، کلیدهای رمزنگاری صرفاً روی دستگاه‌های کاربران ذخیره می‌شوند و از ذخیره‌ی آن‌ها در دیتاسنترهای اپل خبری نیست. با فعال شدن این سیستم، هکر نمی‌تواند ازطریق هک سرور به کلید رمزنگاری و سپس داده‌های کاربران دسترسی پیدا کند. حتی خودِ اپل نیز امکان دسترسی به داده‌های کاربران را نخواهد داشت.

نماینده‌ی اف‌بی‌آی در مصاحبه با رسانه‌ی واشینگتن‌ پست گفت این سازمان دولتی «عمیقا نگران تهدیدی است که رمزنگاری سرتاسری» به‌همراه می‌آورد. اف‌بی‌آی می‌گوید: «این سیستم، مانع توانایی ما برای حفاظت از آمریکایی‌ها دربرابر اقدامات مجرمانه نظیر حملات سایبری، خشونت علیه کودکان، قاچاق مواد مخدر، جرایم سازمان‌یافته و تروریسم است.»

اف‌بی‌آی می‌گوید در دنیایی که جرایم سایبری آن به بالاترین حد رسیده، لازم است شرکت‌ها به‌صورت قانونی دسترسی به داده‌های رمزنگاری‌شده را برای سازمان‌های دولتی امکان‌پذیر کنند. اف‌بی‌آی و سایر نهادهای دولتی ایالات متحده بارها اپل را تحت فشار گذاشته‌اند تا راهکاری رسمی برای دسترسی به تمامی داده‌ها دردسترس آن‌ها قرار دهد. رسانه‌ها می‌گویند اپل دربرابر این فشارها مقاومت کرده است.

اضافه کردن بک‌دور به سیستم رمزنگاری با هدف همکاری با سازمان‌های دولتی، اقدامی خطرناک است، چون احتمال دارد هکرها به آن بک‌دور دسترسی پیدا کنند و داده‌های ارزشمند و شخصی کاربران را به سرقت ببرند.